Ochrana soukromých souborů na PC v doméně Windows

[honzako]

Nechápu na co se ptáš!
Jestliže chceš být pánem notebooku tak si ho kup.
Tohle je zbytečná diskuze od samého začátku, ty prostě nejsi ochotný pochopit, že někdo dělá svoji práci (admin) a je za to placen, stejně jako ty jsi placen za tu svoji práci.
Všechno musíš komunikovat hlavně se svým vedoucím, ten pak možná může zaúkolovat admina nebo povolit, a nebo to bude eskalovat výš, a ten pak klidně na personální.

[Reklama]

[FKoudelka]

Nechápu na co se ptáš!
Jestliže chceš být pánem notebooku tak si ho kup.
Tohle je zbytečná diskuze od samého začátku, ty prostě nejsi ochotný pochopit, že někdo dělá svoji práci (admin) a je za to placen, stejně jako ty jsi placen za tu svoji práci.
Všechno musíš komunikovat hlavně se svým vedoucím, ten pak možná může zaúkolovat admina nebo povolit, a nebo to bude eskalovat výš, a ten pak klidně na personální.

Díky, ale tento typ rad je irelevantní, další už komentovat nebudu. Zajímá mne technická stránka. 
O obskurní činnost mi nejde, ale nemusí každý vidět mé soukromé dokumenty. Svůj NB mám, ale u tohohle a jeho předchůdců sedím už 20 let 5x8, nebudu mít otevřené dva NB.

[FKoudelka]

No a druhý, možná i pádnější důvod je, že jsem třeba security admin, manager, účetní ...a mám tam věci, do kterých BF AD admin nemá co koukat.
Dá se aspoň zamčít soubor tak, aby se tam koukat nemohl ?

[kanoe22]

Já nevím, jak je to na Windows, ale v Linuxu je root pánem systému. Čili může udělat cokoliv a nic před ním neukryjete.

Pokud pak takový zašifrovaný svazek uživatel někam připojí a začne ho používat, má do něj samozřejmě root v danou chvíli přístup. Root si může také například číst celou uživatelovu paměť a pokud v ní je klíč k tomu souboru, získá ho a data si kdykoliv dešifruje.

Je to tak schválně, uživatel si nesmí v systému dělat nějakou tajnou neplechu, do které by správce neviděl. Pokud chce uživatel svůj prostor, musí mít vlastní hardware. To samé pochopitelně platí i o různých virtuálních prostředích, kde má správce nadřazeného hostitele samozřejmě neomezenou moc.

Jiná situace ovšem je, když v tom počítači budou opravdu jen zašifrovaná „mrtvá“ data, která se budou přenášet někam jinam a tam až dešifrovat. Nebo to bude třeba jen záloha vytvořená a zašifrovaná jinde. Pak samozřejmě root nemá možnost si obsah přečíst, pokud neuhádne klíč nebo heslo.

taky proto linux tak neradi firmy dávají do domény. Mimochodem, to že root je pánen už přestává platit, vznikají nám tady antiviry a podobné SW, které mají řadu věcí implementovaných jako kernel modul a schovávají/šifrují tak i data. Root se na ty procesy a data nedostanu.

Dnes jsou společnosti odpovědní za bezpečnost a nelze mít odpovědnost za bezpečnost a zároveň mít na stanici místa, která se nesledují, takže ano, zařazení osobního počítače do firemního prostředí zpřístupňuji všechna data.

To vobec neni o tom ze windows = deravy a linux = super bezpecny.
To je o tom ze na linux neexistuju rozne veci ktore existuju na windows, napr centralna sprava, ktora linuxova distribucia (free distribucia) to ma naporiadok poriesene?
Ktora linuxova distribucia funguje dobre so sharepointom? Ktora linuxova distribucia funguje dobre s MS office balickom (prosim nesnazte sa mi predat ze libreoffice je plnotucna nahrada). Ktora linuxova distribucia funguje dobre so zdielanymi tlaciarnamy? Ktora linuxova distribucia nepotrebuje kompletne preskolenie zamestnancov aby vedeli ako ju vobec pouzivat (vacsina ludi pracujucich v kancli su proste BFU, to ze sedia 40hod tyzdenne za PC neznamena ze su z nich guru-ovia). A kopa dalsich otazok. Ty admini vedia preco to nasadzuju, a pre modre oci niekoho kto sa snazi presadit nejaky OS (a je teraz fakt jedno aky) to nebude.

@FKoudelka:
Mozes skusit virtualizaciu ak na to vo firme kyvnu, ale velku sancu by som tomu nedaval. Inak proste mat dalsi notebook. Nechapem ako moze niekto pouzivat jeden stroj na pracu aj sukromie. Automaticky cokolvek robim na pracovnom notebooku ratam ze vidi aj moj zamestnavatel.

Edit: ohladom zamknutia suboru tak aby do neho nemohli pozerat. Ano, da sa to, dostanes ho na ten PC uz zasifrovany. A nesmies ho pravdaze na tom PC otvarat, pretoze inak je heslo niekde v pameti ktoru keby hodne chceli si mozu precitat.

[petersveter]

Zdravím,
jsem povinen si roky používaný NB zařadit pod firemní AD. Je nějaká cesta, jak zajistit, aby mi admin neviděl na soukromé soubory ? Jakákoliv v rámci Windows, , v nejhorším externí disk nebo soukromé šifrování ..

Díky

https://veracrypt.fr/en/Home.html

[Reklama]

[NoN]

Ve windows je uživatelský profil standardně nepřístupný pro admina (lhostejno, zda lokálního nebo doménového). Dále lze u vytvořeného adresáře odebrat všechna práva a admin má opět smůlu. Obojí jsem zažil - Win10 + AD2016.

[MalyTomi]

No a druhý, možná i pádnější důvod je, že jsem třeba security admin, manager, účetní ...a mám tam věci, do kterých BF AD admin nemá co koukat.
Dá se aspoň zamčít soubor tak, aby se tam koukat nemohl ?

Co vlastne konkretne riesis? domenovy admin je boh systemu, on sa moze dostat vsade. A co sa tyka pracovnych citlivych udajov, na to su hadam nejake smernice.
Napr. v banke dostanes notebook, kde nepripojis ani usb, v ramci disku sa dostanes len do svojho profilu a cely disk je sifrovany. Ale z jedineho dovodu, ak by ho niekto ukradol, tak sa nedostane k udajom, max. tak moze sformatovat disk.

[honzako]

Pro: NoN
Doménový admin může kdykoliv převzít vlastnictví jakéhokoliv objektu. A může ho opětovně komukoliv přiřadit.
To že admin nemá někam přístup je dáno nějakým předpisem, ale nikoliv systémem.

[Tomas-T]

Doménový admin nemusí ani vlastnictví přebírat, může využít Backup privileges a soubory si zkopírovat k sobě.
Je to vcelku jednoduché, pár let zpátky jsem dělal takovou utilitku, která pročmuchala celý strom souborů a udělala z toho podrobný log, kde jsou jaké soubory a nastavená jaká práva - a to včetně home složek uživatelů bez toho, aby kdekoliv měnila práva nebo vlastnictví.

[NoN]

Pro: NoN
Doménový admin může kdykoliv převzít vlastnictví jakéhokoliv objektu. A může ho opětovně komukoliv přiřadit.
To že admin nemá někam přístup je dáno nějakým předpisem, ale nikoliv systémem.

Jasan, ale převzetí vlastnictví je jiná úloha než prostý přístup. A jsem skoro přesvědčen, že ani převzetí vlastnictví mi nešlo, nicméně šlo o SMB sdílený disk. Ale na 100% si jist už nejsem.

[skopda]

a dát ty soubory třeba na iCloud by nepomohlo  ?

Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..

Chceš říct, že admin mi uvidí do iCloudu ?

Admin má přístup k libovolným souborům, takže když si zkopíruje profil tvého prohlížeče včetně aktivní přihlášené session cookie, tak ano, může se ti dostat kamkoliv přestože tam máš dvoufaktor. z pohledu serveru je to stejné jako by ses na domácí wifi někde přihlásil, uspal a přenesl notebook jinam, tam zapneě a většina služeb se tě nebude znovu ptát na heslo. btw v normálních firmách jsou "admini" a admini, ti první nemají práva, ti druzí mají bezpečnostní prověrku nebo důveru nejvyššího vedení. ale ano v pochybné firmě kde je admin asociální pako bez zábran by se to stát mohlo.

[FKoudelka]

Dík za vaše příspěvky. Jsem Unixák, se správou Windows nemám zkušenosti.
Rozumím všemocnosti admina, ale aspoň nějaké "best effort" řešení by nebylo ?
Co se browseru týče, anonymní okno pomůže ?
Jsem mj. IT security, nechci, aby mi každý čuměl do karet ...

[FKoudelka]

a dát ty soubory třeba na iCloud by nepomohlo  ?

Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..

Chceš říct, že admin mi uvidí do iCloudu ?

Admin má přístup k libovolným souborům, takže když si zkopíruje profil tvého prohlížeče včetně aktivní přihlášené session cookie, tak ano, může se ti dostat kamkoliv přestože tam máš dvoufaktor. ...  ale ano v pochybné firmě kde je admin asociální pako bez zábran by se to stát mohlo.

No právě ...

[_Jenda]

takže když si zkopíruje profil tvého prohlížeče včetně aktivní přihlášené session cookie, tak ano, může se ti dostat kamkoliv přestože tam máš dvoufaktor. z pohledu serveru je to stejné jako by ses na domácí wifi někde přihlásil, uspal a přenesl notebook jinam, tam zapneě a většina služeb se tě nebude znovu ptát na heslo

Ani ta změna IP adresy nemusí nastat. Odpovím jak je to na Linuxu, ale na Windows to bude určitě podobné. Přihlásíš se se ssh -D 1234 a pak nastartuješ prohlížeč s tím ukradeným profilem a řekneš mu, že má používat SOCKS proxy na uvedeném portu. Provoz se tak tuneluje přes ten originální počítač.

Dík za vaše příspěvky. Jsem Unixák, se správou Windows nemám zkušenosti.
Rozumím všemocnosti admina, ale aspoň nějaké "best effort" řešení by nebylo ?
Co se browseru týče, anonymní okno pomůže ?
Jsem mj. IT security, nechci, aby mi každý čuměl do karet ...

Promiň, ale jako IT security by ti snad mělo být jasné, že když správce domény může mj. dělat deploy libovolného SW vybavení, tak může instalovat třeba i software na screenshotování obrazovky, a tím anonymní okno prohlížeče vyscreenshotovat. (nejjednodušší případ) Nebo jsem úplně mimo? A jako unixákovi by ti mohlo být jasné jak by se to dělalo na unixu - root si nastaví DISPLAY a XAUTHORITY proměnné na tvůj X server, spustí scrot, a má obrázek.

[CPU]

instalovat třeba i software na screenshotování obrazovky

Nemusí nic instalovat, normálně to uděláš powershellem.

$Bitmapa  = New-Object System.Drawing.Bitmap $Sirka, $Vyska
$Gra = [System.Drawing.Graphics]::FromImage($Bitmapa)
$Gra.CopyFromScreen($Levá, $Vršek, 0, 0, $Bitmapa.Size)

No a když chceš stisky kláves, tak si nastavíš handlery...
Set-PSReadLineKeyHandler

Ale jasně, pokud chceš nějaké rozsáhlejší špízování, tak je software asi lepší.
Nicméně firmy stejně instalují různý špízovací software typu CiscoUmrela, který vedení dodává seznamy navštívených stránek a podobně.